Già da tempo nei siti online di diverse banche viene pubblicizzato il cosiddetto Mobile Token che va a sostituire quello generato con le classiche chiavette che da decenni hanno consentito di confermare le operazioni bancarie richieste tramite i medesimi e, sempre più nel tempo anche già solo per effettuare l’accesso.
Viene pubblicizzato come un qualcosa di innovativo in nome della sicurezza per il cliente: ma è proprio tutto oro ciò che luccica?

In quelle comunicazioni/pubblicità (che spesso appaiono come fastidiose finestre di popup ad ogni login) si parla di una direttiva europea da rispettare nell’ottica di raggiungere un maggiore livello di sicurezza e quindi della obbligatorietà di questo passaggio ad una diversa operatività.
La direttiva ci sarà sicuramente, ma mi sembra che alcune banche (e.g. ING DIRECT – Conto Arancio o anche l’italianissima UNICREDIT) a tutt’oggi non abbiano reso obbligatorio tale passaggio  … anzi, alcune non ha mai fatto uso addirittura di una chiavetta e consentono di utilizzare tuttora una carta dei codici operativi, metodologia ancora precedente all’uso delle chiavette!

Inoltre, in qualità di tecnico, posso esplicitare i miei dubbi che la metodologia del Mobile Token consenta davvero di raggiungere, in generale, una  sicurezza di gran lunga maggiore nelle transazioni bancarie. Infatti, tutto dipende molto dal livello di sicurezza adottato sul dispositivo usato e questo non dipende unicamente dalla tipologia e/o  versione del suo sistema operativo, ma anche dalle scelte effettuate dall’utente stesso (e.g. uso e tipologia del blocco schermo che può essere nullo o debole – quale la traccia di sequenza con il dito, il riconoscimento facciale; installazione manuale di app da fonti non affidabili e/o uso del telefono come pen drive – chiavetta dati – inserendo cioè nella sua memoria – di sistema o SD – dati provenienti da fonti dubbie, scaricate da email o trasferite da un PC tramite un collegamento USB/Bluetooth; collegamento dati realizzato tramite Wi-Fi pubblici non affidabili). Per di più generalmente il proprio smartphone viene portato ovunque uno vada ed è perciò prono a furto molto più di una chiavetta generalmente custodita a casa in modo appropriato e tirata fuori solo all’occorrenza!
Perciò, personalmente credo che la scelta del Mobile Token sia stata dettata principalmente da motivi di convenienza economica e di marketing, più che alla necessità di aumentare il livello di sicurezza nelle transazioni: probabilmente è stata considerata la metodologia attualmente più economica per mantenere nel tempo la sicurezza desiderata, senza dover magari sostituire periodicamente le chiavette o utilizzare servizi a pagamento offerti da terze parti (e.g. invio SMS) per recapitare l’OTP (One Time Password, cioè la chiave utilizzabile un’unica volta entro una tempistica predefinita).

Quello di cui invece sono sicuro è che, purtroppo, questa migrazione (in diversi casi dovuta, vale a dire resa obbligatoria) non è per tutti indolore ed inoltre non è potenzialmente priva di costi derivati e/o di complicazioni  inesistenti operando con le metodologie precedenti.
Nel seguito andrò a giustificare ed esplicitare meglio la mia personale affermazione precedente, seppur sulla base della mia piccola esperienza personale utilizzando (per il mio conto e per quello di parenti anziani che fanno riferimento a me per queste incombenze!) il siti online di tre banche, INTESA SANPAOLO, BNL, ING Direct, di cui l’ultima è nata principalmente per operare online.

Innanzitutto, posso dire che la modalità di migrazione al Mobile Token differisce da banca a banca, sebbene venga richiesta da tutte (o almeno dalle 3 che ho provato personalmente) l’installazione di un’app sul proprio cellulare (o eventualmente su un tablet, anche se non viene particolarmente pubblicizzato/consigliato). Alcune richiedono un ultimo uso della chiavetta (che dopo può anche essere buttata via (e.g. INTESA SANPAOLO), altre ti chiedono unicamente una autenticazione tramite un OTP inviato per SMS al numero di cellulare registrato per quella utenza (e.g. BNL), altre ancora utilizzano la carta di codici operativi (e.g. ING Direct) che, anche dopo aver attivato la modalità Token, non dovrà essere buttata via bensì conservata in quanto potrebbe eventualmente tornare utile un domani per riattivare il Token stesso.

Si noti inoltre che l’utilizzo del Token viene richiesto da alcuni siti di banche non solo per autorizzare un’operazione ma addirittura per accedere al sito stesso (e.g. INTESA SANPAOLO) mentre in altri casi l’autenticazione non lo richiede (e.g. ING Direct) ed il Token autorizzativo può essere generato da un’app senza necessariamente accedere prima di autenticarsi ad accedere completamente a tutte le funzionalità offerte dall’app (e.g. gestione del conto corrente).

Evidenzio perciò il primo punto di attenzione:
1) La metodologia che fa uso del Mobile Token presuppone che il cliente possegga uno smartphone e che questo abbia un sistema operativo Android o iOS con una versione sufficientemente recente. Insomma, un cliente che non abbia uno smartphone sia con quei sistemi operativi sia più recente di 3 anni, ha buona possibilità di non poter installare/utilizzare l’app della propria banca che consente di ottenere il Mobile Token.
Ad esempio, io che avevo un Lumia 950XL del 2016 (e che riceverà il supporto della Microsoft fino al prossimo dicembre 2019) con sistema operativo Windows 10 Mobile, diverse banche non hanno proseguito nel tempo a supportare le loro app per quel sistema operativo non molto diffuso: quindi, già da più di un anno quelle app (se sviluppate) sono comunque diventate obsolete ed inutilizzabili. Ad esempio, questo è il caso dell’app ING Direct che consentiva da anni di generare il Token: dopo essere passato a quella modalità anni fa, ad inizio 2018 (da un momento all’altro) ha messo di funzionare correttamente ed ero dovuto tornare (non senza problematiche) all’utilizzo del metodo precedente di autorizzazione (i.e. la carta di codici operativi).
Analogamente mia moglie, che ha uno smartphone Android Sony Xperia di quel medesimo anno (2016), non può attualmente utilizzare l’app INTESA SANPAOLO (che genera il Token) in quanto, anche se si riesce ad installare poi non fornisce quella funzionalità perché richiede una versione del sistema operativo superiore al Android 4.4.4, propria di quel cellulare al suo più recente aggiornamento. Anche telefonando al servizio clienti mi hanno saputo solo dire che si poteva installare … ma non che poi non risultava utilizzabile allo scopo!! Per cui c’è da preventivare prima o poi la sostituzione di quel cellulare seppure, per tutti gli altri scopi, faccia ancora la sua sporca figura: d’altra parte ha solo meno di 3 anni!
Che venga imposto l’uso di browser recenti per accedere al sito da un PC mi sta bene perché il costo di aggiornamento è nullo e non crea assolutamente problemi, ma dover cambiare uno smartphone abbastanza recente solo per poter avere una operatività online sul sito della banca è diverso!!

Per non parlare poi del cliente anziano che utilizza generalmente una linea fissa e, se va bene, ha solo un cellulare solo per chiamate voce (dove quindi la metodologia con OTP tramite SMS potrebbe funzionare): spesso, a mala pena costui sa cosa sia uno “smartphone” e sicuramente ha delegato da tempo una persona fidata (e.g. un parente giovane) ad operare per conto suo sul sito della banca per effettuare le operazioni di routine (e.g. spese condominiali, bonifici alla badante, pagamenti bollette).

Evidenzio perciò il secondo punto di attenzione:
2) Mentre con una chiavetta l’operatività poteva essere agevolmente delegata ad altra persona fidata, semplicemente passandogliela e fornendo le dovute credenziali, ora ciò è reso impossibile qualora la banca risulti la medesima, in quanto non è possibile registrare la medesima app su un cellulare in modo che possa fornire il token per due utenze diverse, anche qualora fossero relative al medesimo conto cointestato.
Ad esempio, nel caso di INTESA SANPAOLO, due coniugi che abbiano un conto cointestato, eventualmente non possono più entrambi operare per conto dell’altro:  semplicemente passando la chiavetta ed le credenziali come avveniva un tempo, non possono quindi più entrare nel sito ed operare in vece del coniuge, magari per compilare un F24 o effettuare un altro pagamento che richieda di operare proprio autenticandosi con una utenza specifica per vedere precompilati i priori dei dati anagrafici/fiscali; inoltre, senza quell’accesso in vece, non sono più visibili/utilizzabili i contatti (con i loro rispettivi iban) precedentemente salvati nel tempo per effettuare più agevolmente successivi pagamenti. Tutto questo rende più macchinoso consentire ad una persona fidata di procedere all’autorizzazione di operazioni (e.g. è necessario telefonargli per fare generare il Token da remoto con il suo telefono o aspettare di incontrarsi di persona per poter procedere).
Inoltre, per problemi di sicurezza, l’app che fornisce il Token può essere attivata su un solo dispositivo (e.g. il proprio smartphone personale): se si desidera poi cambiare dispositivo, ad esempio se si compra un nuovo smartphone, si deve riattivare il tutto su quel nuovo dispositivo, disattivando così funzionalità sul precedente.

Ecco il terzo punto di attenzione:
3)  L’attivazione della metodologia Token risulta esclusiva vale a dire, una volta scelta, non consente più di utilizzare quelle preesistenti (e.g. la chiavetta; la carta di codici operativi). Talvolta (e.g. ING Direct) si può tornare al precedente metodo, ma la procedura non è immediata; altre volte (e.g. INTESA SANPAOLO) si può optare – come in alternativa alla sua attivazione – ad un invio dell’OTP via SMS, ma in quel caso viene richiesto un canone annuale (non del tutto irrisorio e comunque ingiustificato se si pensa che non solo già si paga per ottenere il servizio di banca online, ma viene pure viene applicato un costo per ciascuna transazione richiesta). In realtà ho sperimentato che invece per la BNL la generazione del token può continuare ad essere effettuato anche tramite la preesistente chiavetta e la modalità tramite app su smartphone risulta solo una possibile alternativa (mentre per INTESA SANPAOLO l’ultimo uso della chiavetta è per confermare l’attivazione del Mobile Token, dopo di che perde qualsiasi utilità e la si può buttare!).

Quarto punto di attenzione:
3) Se il cellulare non ha la connessione dati (e.g. assenza di copertura di rete mobile/Wi-Fi; plafond traffico dati terminato), pur avendo a disposizione un PC connesso in rete, non si può operare sul sito della banca, se non per magari (in taluni casi) per un numero limitato di volte (e.g. l’app ING Direct nelle F.A.Q. viene detto che può generare offline fino a 15 Token – anche se, provandola, non mi sembra possibile; invece le app dell’INTESA SANPAOLO e BNL non consentono neppure all’utente di autenticarsi se c’è anche solo una momentanea perdita di connessione con la rete dati!!).

Quinto punto di attenzione:
3) Mentre viene spiegato bene come installare l’app per attivare la funzionalità di Mobile Token (e.g. con apposito video, usufruibile direttamente dall’homepage o da una apposita finestra di popup al login) non risulta così immediato reperire informazioni su quale poi praticamente sia la procedura complessiva per effettuare poi un’autorizzazione tramite quel “nuovo” metodo. Fin quando, magari per tentativi, si prova effettivamente ad utilizzare quel metodo di autorizzazione, diverse rimangono le domande insolute che uno si pone (e.g. Conviene prima lanciare l’app e poi accedere da PC al sito per effettuare la operazione desiderata, o fa lo stesso? Si può operare per il pagamento anche direttamente dall’app che genera il Token e come in quel caso la procedura differisce rispetto all’accesso al sito da un PC? E’ possibile utilizzare l’app che genera il Token anche da un tablet, e se sì, deve essere Android/iOS? E da PC, e se sì, il sistema operativo può essere sia Windows 10 sia macOS?). Ovviamente la procedura complessiva nell’uso del Mobile Token differisce da banca a banca, per cui se si deve operare con una diversa app, non ci si deve aspettare che la procedura risulti la medesima sperimentata altrove!

BNL (1)

BNL (2)

INTESA SANPAOLO (1) – sito web su PC

INTESA SANPAOLO (2) – App su Smartphone – Caso di utilizzo del Token per confermare operazione effettuata sul sito dal PC

INTESA SANPAOLO (3) – App su Smartphone – Caso di utilizzo del Token per accedere al sito dal PC

ING Direct

_________________________

Infine, nel seguito riporto alcune F.A.Q. (presenti nel sito di ING Direct e relativamente alla loro procedura di rilascio del Token) che ho trovato particolarmente delucidati ed aiutano a comprendere le potenziali problematiche associate!

Cosa significa “Token esauriti” e cosa fare in questa situazione?